CHƯƠNG 1: KHÁI QUÁT VỀ AN TOÀN THÔNG TIN VÀ BÀI TOÁN THỎA THUẬN KHÓA
1.1 Khái quát về an toàn thông tin
1.1.2. Một số vấn đề rủi ro mất an toàn thông tin
Theo [5], các hệ thống TMĐT lưu giữ dữ liệu của người dùng và lấy lại các thông tin về sản phẩm từ các CSDL kết nối với máy chủ Web. Ngoài các thông tin về sản phẩm, các CSDL có thể chứa các thông tin có giá trị và mang tính riêng tư.
Khi giao dịch qua internet, thông tin giao dịch được truyền đi trên mạng, những thông tin này rất có thể bị nghe nén, hay bị dò rỉ, bị đánh cắp trên đường truyền làm lộ tính bí mật của cuộc giao dịch. Trong một cuộc giao dịch điện tử nói việc đảm bảo tính bí mật luôn phải đặt lên hàng đầu. Bằng không, doanh nghiệp có thể gặp những nguy cơ như nghe trộm, giả mạo, mạo danh hay chối cãi nguồn gốc...
Khi những thông tin nhạy cảm như thông tin cá nhân, thông tin thẻ tín dụng, thông tin giao dịch… bị lấy cắp trên đường truyền gây ra những thiệt hại không nhỏ với cả hai bên giao dịch. Một phần mềm đặc biệt, được gọi là trình đánh hơi (sniffer) đưa ra cách móc nối vào Internet và ghi lại thông tin qua các máy tính đặc biệt (thiết bị định tuyến - router) trên đường đi từ nguồn tới đích. Chương trình sniffer gần giống với việc móc nối vào đường dây điện thoại để nghe thông tin cuộc đàm thoại. Chương trình sniffer có thể đọc thông báo thư tín điện tử cũng như các thông tin TMĐT.
Hình 1.7 Xâm phạm riêng tư
Tình trạng lấy cắp số thẻ tín dụng là một vấn đề quá rõ ràng, nhưng các thông tin thỏa thuận hợp đồng, hoặc các trang dữ liệu được phát hành gửi đi cho các chi nhánh của hãng có thể bị chặn xem một cách dễ dàng. Thông thường các thông tin bí mật của hãng, các thông tin trong cuộc giao kết hợp đồng còn có giá trị hơn nhiều so với một số thẻ tín dụng, các thông tin bị lấy cắp của hãng có thể trị giá đến hàng triệu đô la.
1.1.2.2. Xâm phạm tính toàn vẹn
Mối hiểm họa đối với tính toàn vẹn tồn tại khi một thành viên trái phép có thể sửa đổi các thông tin trong một thông báo. Các giao dịch ngân hàng không được bảo vệ, ví dụ tổng số tiền gửi được chuyển đi trên internet, là chủ thể của xâm phạm tính toàn vẹn. Tất nhiên, tính xâm phạm toàn vẹn bao hàm cả xâm phạm tính bí mật. Bởi vì một đối tượng xâm phạm (sửa đổi thông tin trái phép) có thể đọc và làm sáng tỏ thông tin. Không giống hiểm họa với tính bí mật. Các hiểm họa tới tính toàn vẹn gây ra sự thay đổi trong các hoạt động của một cá nhân hoặc một công ty, do nội dung cuộc truyền thông bị thay đổi.
1.1.2.3. Xâm phạm tính sẵn sàng
Mục đích của xâm phạm tính sẵn sàng là phá vỡ quá trình xử lý thông thường của máy tính hoặc chối bỏ toàn bộ quá trình xử lý.
Xâm phạm tính sẵn sàng là tấn công từ chối giao dịch. Khi khách hàng, đối tác thấy các sản phẩm hàng hóa của doanh nghiệp, nhà cung cấp…thỏa mãn các yêu cầu về sản phẩm của họ, họ muốn thỏa thuận giao kết hợp đồng với nhà cung cấp. Một kết nối giao dịch đến nhà cung cấp được thiết lập. Tấn công từ chối giao dịch sẽ ngăn cản làm chậm thậm chí từ chối sự kết nối giao dịch này. Điều này ảnh hưởng rất lớn đến hoạt động thương mại của doanh nghiệp, gây tổn thất doanh thu, thậm chí gây mất lòng tin của khách hàng - yếu tố được chú trọng hàng đầu của doanh nghiệp.
1.1.2.4. Giả mạo nguồn gốc giao dịch
Giao dịch trên mạng là loại hình giao dịch không biên giới, có tính chất toàn cầu. Các bên giao dịch không gặp nhau, thậm chí không hề quen biết nhau, và đây cũng chính là cơ hội để cho kẻ xấu lợi dụng để thực hiện mục đích của mình. Vì vậy, việc kiểm tra tính đúng đắn của thông tin trong giao dịch cần phải được thực hiện thường xuyên để phòng tránh những rủi ro như thông tin gây nhiễu, giả mạo hay lừa đảo.
Mặc dù đã dùng những biện pháp kỹ thuật để bảo mật thông tin trong giao dịch, song khi nhận được các thông tin người dùng vẫn phải kiểm tra tính đúng đắn, xác thực của thông tin.
1.1.2.5. Chối bỏ giao dịch
Chối bỏ giao dịch được được định nghĩa là sự không thừa nhận của một trong các thực thể tham gia truyền thông, anh ta không tham gia tất cả hoặc một phần cuộc truyền thông … Khác với giao dịch thông thường khi đối tác hai bên biết mặt nhau, thì trong giao dịch điện tử được thực hiện trong môi trường Internet … Các bên tham gia giao dịch điện tử ở cách xa nhau về địa lý, thậm chí họ có thể không biết mặt nhau thì vấn đề chối bỏ giao dịch có thể xảy ra rất cao và luật pháp cho chúng chưa nhiều, gây ra những thiệt hại to lớn cho bên tham giao dịch.
1.1.2.6. Các hiểm họa đối với hệ thống giao dịch
1. Hiểm họa với máy chủ : Máy chủ là liên kết thứ 3 trong bộ ba máy khách - Internet - máy chủ, bao gồm đường dẫn TMĐT giữa một người dùng và một máy chủ thương mại.
2. Hiểm họa với máy chủ CSDL: Các hệ thống TMĐT lưu giữ dữ liệu của người dùng và lấy lại các thông tin về sản phẩm từ các CSDL kết nối với máy chủ Web. Ngoài các thông tin về sản phẩm, các CSDL có thể chứa các thông tin có giá trị và mang tính riêng tư. Tính bí mật luôn sẵn sàng trong các CSDL, thông qua các đặc quyền được thiết lập trong CSDL.
3. Hiểm họa với máy chủ web: Các máy chủ Web được thiết lập chạy ở các mức đặc quyền khác nhau. Mức thẩm quyền cao nhất có độ mềm dẻo cao nhất, cho phép các chương trình thực hiện tất cả các chỉ lệnh của máy và không giới hạn truy nhập vào tất cả các phần của hệ thống, không ngoại trừ các vùng nhạy cảm và phải có thẩm quyền. Việc thiết lập một máy chủ Web chạy ở mức thẩm quyền cao có thể gây hiểm hoạ về an toàn đối với máy chủ
Web. Trong hầu hết thời gian, máy chủ Web cung cấp các dịch vụ thông thường và thực hiện các nhiệm vụ với một mức thẩm quyền rất thấp. Nếu một máy chủ Web chạy ở mức thẩm quyền cao, một đối tượng xấu có thể lợi dụng một máy chủ Web để thực hiện các lệnh trong chế độ thẩm quyền.
4. Hiểm họa với máy khách : Cho đến khi được biểu diễn trên web, các trang web chủ yếu được biểu diễn dưới trạng thái tĩnh. Thông qua ngôn ngữ biểu diễn siêu văn bản HTML, các trang tĩnh cũng ở dạng động một phần chứ không đơn thuần chỉ hiển thị nội dung và cung cấp liên kết các trang web với thông tin bổ sung. Việc dùng những nội dung động mang lại sự sống động cho web tĩnh nhưng đã gây ra một số rủi ro cho trong TMĐT.
5. Các hiểm họa đối với kênh truyền thông : Các thông báo trên Internet được gửi đi theo một đường dẫn ngẫu nhiên, từ nút nguồn tới nút đích. Các thông báo đi qua một số máy tính trung gian trên mạng trước khi tới đích cuối cùng và mỗi lần đi chúng có thể đi theo những tuyến đường khác nhau. Không có gì đảm bảo rằng tất cả các máy tính mà thông báo đi qua trên Internet đều an toàn. Những đối tượng trung gian có thể đọc các thông báo, sửa đổi, hoặc thậm chí có thể loại bỏ hoàn toàn các thông báo của chúng ta ra khỏi Internet. Do vậy, các thông báo được gửi đi trên mạng là đối tượng có khả năng bị xâm phạm đến tính bí mật, tính toàn vẹn và tính sẵn sàng.